熊海cms v1.0 PHP低版本无条件Getshell

颓废 2019年5月19日10:52:46评论2,757 views字数 682阅读2分16秒阅读模式
摘要

问题在index.php中,代码不多我直接贴出来了

Payload:/?r=../文件名

在PHP 5.3.29以下版本中可突破限制包含其他文件

Payload:../1.txt………………………………………………………………………………………………………………………………………………………………………………………………………………….

利用Windows文件长度特性绕过PHP后缀拼接

还有一种是使用%00绕过,不过在我的机器上没复现成功
越权
//inc/logincheck.php

任意文件包含

问题在index.php中,代码不多我直接贴出来了

<?php error_reporting(0); // $file=addslashes($_GET['r']); // $action=$file==''?'index':$file; // include('files/'.$action.'.php'); // ?>

一个经典的不能再经典的任意文件包含漏洞

$file中r参数可控,最后一行直接带入include函数中造成了任意文件包含,虽然有目录现在但并没有对目录进行严格判断,可用../来穿越目录

在其他目录下创建个1.php可成功包含
熊海cms v1.0 PHP低版本无条件Getshell

Payload:/?r=../文件名

在PHP 5.3.29以下版本中可突破限制包含其他文件

Payload:../1.txt………………………………………………………………………………………………………………………………………………………………………………………………………………….

利用Windows文件长度特性绕过PHP后缀拼接

还有一种是使用%00绕过,不过在我的机器上没复现成功
越权
//inc/logincheck.php

<?php $user=$_COOKIE['user']; if ($user==""){ header("Location: ?r=login"); exit;   } ?>

这代码看了我都想打人。只判断了COOKIE的值是否为user。

也就是说我们随便在cookie中给一个user值就可以绕过
熊海cms v1.0 PHP低版本无条件Getshell

在后台编辑文章处可以上传图片,再配合之前的包含漏洞,实现前台getshell熊海cms v1.0 PHP低版本无条件Getshell

熊海cms v1.0 PHP低版本无条件Getshell

cms还有注入,储存XSS等

原文作者:

ADminSS

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
颓废
  • 本文由 发表于 2019年5月19日10:52:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   熊海cms v1.0 PHP低版本无条件Getshellhttps://cn-sec.com/archives/68642.html

发表评论

匿名网友 填写信息